Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

IM-Worm.OSX.Leap.a

Jest to robak komunikatorów internetowych (IM-Worm) infekujący komputery działające pod kontrolą systemu operacyjnego MacOS X. Szkodnik może infekować aplikacje systemu MacOSX, które, w wyniku błędu w kodzie robaka, nie będą się uruchamiać.

Robak został po raz pierwszy zauważony na forach MacRumors (http://forums.macrumors.com), wieczorem 13 lutego 2006 roku. Oryginalna wiadomość posiadała treść "Alleged screenshots of OS 10.5 Leopard", co w oczywisty sposób miało przyciągnąć uwagę użytkowników i sprowokować ich do uruchomienia zainfekowanego kodu.

Robak rozprzestrzenia się za pośrednictwem komunikatora "iChat". Alternatywne metody rozmnażania obejmują pobieranie i bezpośrednie uruchamianie kodu robaka przez użytkownika oraz uruchamianie zainfekowanych aplikacji ze zdalnych komputerów. Ze względu na to, że robak nie może automatycznie infekować systemów został okrzyknięty trojanem, jednak nie jest to poprawna klasyfikacja. Trojany nie mogą się samodzielnie rozprzestrzeniać, a "Leap.a" robi to całkiem sprawnie.

Robak rozprzestrzenia się pod postacią archiwum TAR.GZ o nazwie latestpics.tgz. Gdy użytkownik rozpakuje archiwum (przy użyciu narzędzia wiersza poleceń tar lub poprzez dwukrotne kliknięcie z poziomu Findera), jego oczom ukaże się coś, co wygląda jak obrazek JPEG:

virus-21273430.jpg

W rzeczywistości jest to plik wykonywalny dla platformy PowerPC, co można łatwo sprawdzić w oknie "Get Info" Findera:

virus-21273427.jpg

Plik latestpics jest aplikacją wiersza poleceń i z tego powodu po wykonaniu uruchomi się w oknie terminalowym.

Z pewnych doniesień wynika, że gdy robak zostanie uruchomiony przez normalnego użytkownika, system operacyjny zapyta o prawa administracyjne. Nasze testy tego nie potwierdziły - uruchomienie robaka przebiega identycznie, niezależnie od konta, z którego korzysta użytkownik. Szkodnik będzie jednak mógł infekować tylko te pliki, dla których bieżący użytkownik posiada prawo zapisu.

Kolejną czynnością wykonywaną przez robaka jest wypakowanie z własnego kodu wtyczki InputManager o nazwie apphook. Jeżeli bieżący użytkownik posiada uprawnienia administratora, robak skopiuje wtyczkę do foldera Library/InputManagers. W przeciwnym wypadku kopia robaka znajdzie się w folderze użytkownika ~/Library/InputManagers. Konsekwencje są następujące: wtyczki InputManagers z foldera głównego /Library będą ładowane do aplikacji uruchamianych przez wszystkich użytkowników, natomiast w drugim przypadku będą one ładowane do aplikacji uruchamianych wyłącznie przez bieżącego użytkownika.

Zadaniem wtyczki apphook jest rozprzestrzenianie robaka poprzez komunikator internetowy. Podejmuje ona próbę przechwycenia pewnych funkcji aplikacji iChat i wysyła kopię szkodnika do znajomych użytkownika zainfekowanego komputera.

Po zakończeniu instalacji wtyczki apphook kod robaka kontynuuje infekowanie lokalnych aplikacji. Przy użyciu systemowego składnika "Spotlight" szkodnik szuka listy najczęściej uruchamianych programów i podejmuje próby ich infekowania.

Gdy zainfekowana aplikacja jest uruchamiana aktywuje się główny kod robaka, który rozpoczyna proces rozprzestrzeniania opisany powyżej. Dodatkowo robak próbuje uruchamiać oryginalną aplikację, jednak w wyniku błędu nie jest to możliwe. Oznacza to, że wszystkie zainfekowane aplikacje przestaną się uruchamiać, co jest jednoznacznym symptomem zarażenia komputera.

Wydaje się, że autor robaka planował dodanie funkcji pozwalającej na rozprzestrzenianie szkodnika za pośrednictwem wiadomości e-mail, jednak nie zdążył ukończyć tej procedury przed pojawieniem się kodu na forach MacRumors.

Z wyjątkiem niszczenia infekowanych aplikacji, robak nie wykonuje żadnych innych szkodliwych działań.